'Browser-in-the-Browser' Phishing-angreb

Svindlere bruger en ny phishing-teknik kendt som Browser-in-the-Browser for at få fortrolige kontooplysninger fra deres ofre. Indtil videre ser det ud til, at angriberne hovedsageligt er rettet mod Steam-brugere og professionelle spillere. Det er sandsynligt, at eventuelle kompromitterede konti vil blive udbudt til salg, da nogle fremtrædende Steam-konti er blevet anslået til at være værd mellem $100.000 og $300.000.

Steam er den største digitale distributionsplatform til pc-spil, og dens udvikler Valve Corporation ejer også nogle af de største esports-titler i verden, såsom CS: GO og DOTA 2. Browser-in-the-Browser-phishing-angrebene begynder med lokkemadsmeddelelser sendes direkte til brugere via Steam. Svindlerne inviterer deres ofre til at slutte sig til et hold til et populært konkurrencespil (LoL, CS, DOTA 2, PUBG) og deltage i en formodet turnering. Linket, der findes i lokkemeddelelsen, vil føre de intetanende ofre til et falsk websted, designet til at se ud, som om det tilhører en organisation, der er vært for e-sportskonkurrencer. Når brugere forsøger at tilslutte sig et team, bliver de bedt om at logge ind via deres Steam-konto.

Det er her Browser-in-the-Browser-teknikken kommer i spil. I stedet for det legitime login-vindue, der typisk er lagt over det eksisterende websted, vil ofrene blive præsenteret for et falsk vindue, der er oprettet på den aktuelle side. Det er ekstremt svært at opdage, at noget er galt, da det falske vindue er visuelt identisk med det rigtige, og dets URL matcher den legitime adresse. Landingssiderne kan endda vælge mellem 27 forskellige sprog for at matche det standardsprog, som deres ofre bruger.

Når kontolegitimationsoplysningerne er indtastet, vises en ny prompt, der beder om en 2FA-kode (tofaktorgodkendelse). Undladelse af at angive den rigtige kode vil resultere i en fejlmeddelelse. Hvis brugere består godkendelsen, vil de blive omdirigeret til en ny adresse, der bestemmes af operationens Command-and-Control-server (C2). Typisk hører denne adresse til en legitim hjemmeside som en måde at maskere bedragernes handlinger på. Men på dette tidspunkt er ofrets legitimationsoplysninger allerede blevet kompromitteret og overført til trusselsaktørerne.

Detaljer om Browser-in-the-Browser-phishing-teknikken og angrebsoperationen som helhed blev afsløret for offentligheden i en rapport fra sikkerhedsforskere. Ifølge deres resultater er phishing-sættet brugt i Steam-kampagnen ikke tilgængeligt til salg på hackingfora. Det bliver i stedet holdt inden for en snæver kreds af cyberkriminelle, som koordinerer deres aktiviteter på Discord- eller Telegram-kanaler.